(1月12日更新:由于数据传输错误,2017年的一些数据报告错误;此版本的博客已得到纠正。此错误不影响我们的2018年统计数据,也不影响我们的结论。)
作为Web应用程序防火墙提供商,我们在Imperva的部分工作是持续监控新的安全漏洞。为此,我们使用内部软件从各种数据源(如漏洞数据库,新闻简报,论坛,社交媒体等)收集信息,将其集成到单个存储库中,并评估每个漏洞的优先级。拥有此类数据使我们处于一个独特的位置,可以全年分析所有Web应用程序漏洞,查看趋势并注意安全环境中的重大变化。正如我们去年所做的那样,我们回顾了2018年,了解过去一年中Web应用程序安全性的变化和趋势。
坏消息是,在2018年,与2017年一样,我们继续看到越来越多的Web应用程序漏洞,特别是与注入相关的漏洞,如SQL注入,命令注入,对象注入等。在内容管理系统(CMS)上前面,WordPress漏洞继续增长,并且它们在CMS类别中发布的漏洞数量方面继续占主导地位。尽管WordPress在漏洞数量方面处于领先地位,但Drupal漏洞影响更大,并且在2018年用于数十万个网站的大规模攻击中使用。但是,对于安全行业来说有一些好消息 - 物联网的数量(IoT)漏洞数量下降,以及与弱身份验证相关的漏洞数量。在服务器端技术类别中,PHP漏洞的数量持续下降。此外,API漏洞的增长也略有下降。
(您是否知道,过去一年中有三分之一的企业遭受了6次以上的违规行为?请参阅2019年的CyberThreat防御报告,了解对1,200多名IT和安全领导者的调查结果。)
2018年Web应用程序漏洞统计信息
我们年度分析的第一阶段是检查2018年与前几年相比发布的漏洞数量。图1显示了过去三年中每月漏洞的数量。我们可以看到2018年(17,308)的新漏洞总数比2017年(14,082)增加了23%,与2016年(6,615)相比增加了162%。根据我们的数据,超过一半的Web应用程序漏洞(54%)可以为黑客提供公共漏洞利用。此外,超过三分之一(38%)的Web应用程序漏洞没有可用的解决方案,例如软件升级解决方法或软件补丁。
图1:2016 - 2018年的Web应用程序漏洞数
按类别划分的漏洞
在图2中,您可以找到分为OWASP TOP 10 2017类别的2018个漏洞。
最常见的漏洞:注射
今年的主要类别是迄今为止的注射,2018年的总漏洞中有19%(3,294),比去年增加了267%。 在谈到注入漏洞时,首先想到的是SQL注入。 然而,在深入挖掘数据时,我们看到远程命令执行(RCE)成为更大的问题,有1,980个漏洞(11.5%),而SQLi则有1,354个漏洞(8%)。
第2号漏洞 - 跨站点脚本
跨站点脚本(XSS)漏洞的数量持续增长,并且似乎是2018年Web应用程序漏洞中第二大常见漏洞(14%)。
物联网漏洞减少
似乎物联网漏洞数量大幅减少。 尽管人们普遍认为我们所有的电子设备都很容易受到损害,但在这方面似乎发生了一些变化。 可能的解释包括:物联网供应商终于开始在物联网设备中实现更好的安全性,或者黑客和研究人员在2018年找到了另一个需要关注的领域。
API漏洞:不断增长,但却在减速
随着时间的推移,API(应用程序编程接口)漏洞正变得越来越普遍。 图4显示了2015-2018之间API漏洞的数量。 2018年(264)的新API漏洞比2017年(214)增加了23%,与2016年(169)相比增加了56%,与2015年(104)相比增加了154%。
虽然API漏洞继续逐年增长,但似乎正在放缓,从2015 - 16年的63%降至2016 - 2017年的27%,现在在2017 - 18年间为23%。 一种可能的解释是,由于API现在更受欢迎,它们吸引了黑客和安全研究人员的更多关注。 反过来,组织花费更多时间来保护他们的API。
内容管理系统中的漏洞:攻击者专注于WordPress
根据维基百科引用的市场份额统计数据,最受欢迎的内容管理系统是WordPress,超过28%的网站使用,59%的网站使用已知的内容管理系统,其次是Joomla和Drupal。 也许不出所料,去年WordPress的漏洞数量最多(542),比2017年增加了30%(图5)。
图5:CMS平台2016-2018的漏洞数量
据WordPress官方网站称,目前的插件数量是55,271。 这意味着2018年仅增加了1,914(3%)。
图6:WordPress插件的数量
尽管新插件的增长放缓,但WordPress漏洞的数量却在增加。 对此的解释可能是插件的代码质量,或者WordPress是如此受欢迎的CMS的事实,它激励更多的攻击者开发专用的攻击工具并试着运气搜索代码中的漏洞。
不出所料,98%的WordPress漏洞与插件相关(参见下面的图7),这些漏洞扩展了网站或博客的功能和特性。 任何人都可以创建插件并将其发布 - WordPress是开源的,易于管理,并且没有强制执行或任何适当的流程要求最低安全标准(例如代码分析)。 因此,WordPress插件容易出现漏洞。
在下面的图8中,您可以找到在2018年发现的漏洞最多的10个WordPress插件。请注意,这些插件不一定是受攻击最多的插件,因为报告指的是全年看到的漏洞数量 - 并且基于 持续汇总来自不同来源的漏洞。 我们的年度报告完全基于此系统的统计信息,我们列出了2018年期间在WordPress和WordPress插件中发布的所有漏洞。 该指标仅考虑最多的漏洞。 还有其他措施未包含在报告中 - 例如“最高级别”或“最具风险性” - 这些措施不一定与此测量值相关。
服务器技术:PHP漏洞下降
由于最流行的网站服务器端编程语言仍然是PHP,我们预计它会比同等语言有更多的漏洞。 这是真的。 但是,如下图9所示,与2017年相比,PHP的新漏洞在2018年与2017年相比有所下降。 缺少PHP更新 - 仅在12月发布了一个小的更新,PHP 7.3,可以解释原因。
Drupal年
虽然Drupal是第三大最受欢迎的CMS,但它的两个漏洞是CVE-2018-7600(下图10中的'23-mar'栏),以及CVE-2018-7602(下面的'25 -apr'栏,也称为作为Drupalgeddon2和Drupalgeddon3),是2018年数十万个Web服务器中许多安全漏洞的根本原因。这些漏洞允许未经身份验证的攻击者远程注入恶意代码并在默认或常见的Drupal安装上运行它。这些漏洞允许攻击者连接到后端数据库,扫描和感染内部网络,挖掘加密货币,使用特洛伊木马感染客户端等等。
这些Drupal漏洞的简单性及其灾难性影响使它们成为许多攻击者的首选武器。事实上,在2018年期间,Imperva发现并阻止了与这些漏洞相关的超过50万次攻击。这些攻击也是我们今年写的一些有趣博客的基础。还有另一个风险漏洞,是10月份发布的Drupal安全补丁sa-core-2018-006的一部分。但是,由于攻击不容易,攻击次数很少。
预测2019年
作为安全供应商,我们经常被问及我们的预测。以下是我们对2019年的漏洞预测:
PHP宣布版本5.5,5.6和7.0达到了使用寿命。这意味着这些版本将不再接收安全更新。像WordPress,Drupal和Joomla这样的主要CMS是用PHP开发的,需要更新版本的PHP。但是,它们仍然支持旧版本。结果是,黑客现在有动力在不受支持的PHP版本中发现新的安全漏洞,因为它们不会被修复并影响使用这些过时版本构建的每个应用程序。例如,根据Shodan,目前有34K服务器具有这些不受支持的PHP版本
注入漏洞将继续增长主要是因为对攻击者的经济影响(赚快钱)
随着DevOps成为IT的关键因素,它们的使用和对API的需求不断增长,将会发现API中的更多漏洞
如何保护您的应用和数据
防范Web应用程序漏洞的最佳解决方案之一是部署Web应用程序防火墙(WAF)。 WAF可以是内部部署,云端部署,也可以是两者的组合,具体取决于您的需求,基础架构等。随着组织将更多应用程序和数据迁移到云中,考虑安全要求非常重要。专用安全团队支持的解决方案是添加到您的选择标准的解决方案。安全团队可以及时将安全更新推送到WAF,以便正确保护您的资产。
原文:https://www.imperva.com/blog/the-state-of-web-application-vulnerabilities-in-2018/
本文:
讨论:请加入知识星球或者小红圈【首席架构师圈】